GDPR e politiche privacy
INTRODUZIONE
La protezione dei
dati personali trattati all’interno del Consorzio del Chiese di Bonifica di
Secondo Gradoè un impegno di fondamentale importanza. L’entrata in vigore del
Regolamento (UE)2016/679 “Regolamento in materia di protezione dei dati
personali”(RGPD, in inglese GDPR, General Data ProtectionRegulation) ha fornito l’opportunità per adeguare ulteriormente le attività
svolte nel Consorzio ai principi di trasparenza e tutela dei dati personali,
nel rispetto dei diritti e delle libertà fondamentali di tutti gli interessati,
siano essi dipendenti, collaboratori, contribuenti, utenti o fornitori. Il
Consorzio ha così implementato un “modello organizzativo privacy” (MOP) che qui
si descrive nelle sue linee generali, finalizzato ad analizzare tutti i
trattamenti di dati, organizzarli in modo funzionale e gestirli in sicurezza e
trasparenza. In questa sezione del sito si riportano inoltre le informazioni
sui diritti dell’interessato e le modalità di esercizio nei confronti del
Titolare.
INDICE
1 - MODELLO ORGANIZZATIVO PRIVACY GDPR
1.1 - SOGGETTI
1.2 -
ANALISI DEL RISCHIO E MISURE PER PREVENIRE I RISCHI PRIVACY
2 -
TRASPARENZA E DIRITTI DELL’INTERESSATO
2.1 -
DIRITTI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
2.2 -
ESERCIZIO DEI DIRITTI
2.3 -
MODULISTICA
1 - MODELLO ORGANIZZATIVO PRIVACY GDPR
1.1 - SOGGETTI
TITOLARE DEL TRATTAMENTO
Il Titolare del trattamento è:
Consorzio del
Chiese di Bonifica di Secondo Grado
Via Vittorio
Emanuele II n. 76 – 25011 Calcinato (BS)
Tel. 0309637145 –
fax 030 9637012
C.F. 94004530179
Le informazioni sono rese anche ai sensi dell’art. 7 del D.Lgs. 70/03
“Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei
servizi della società dell'informazione nel mercato interno, con particolare
riferimento al commercio elettronico”.
RESPONSABILE PER LA PROTEZIONE DEI DATI
PERSONALI (DPO)
Il TITOLARE ha ritenuto necessario nominare il Responsabile per la
protezione dei dati personali (RPD, o in inglese DPO “Data ProtectionOfficer”) ai sensi dell’art. 37, par. 1, lett. a)
del Reg. (UE) 2016/679(“trattamento
effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le
autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali”), che agisce in sinergia con il team
“privacy” interno, un organismo formato da competenza giuridiche, organizzative
ed informatiche. Il DPO è MAURO BADALIN, domiciliato presso HUNEXT CONSULTING –
Via Terraglio n. 263A – Preganziol (TV) , che potrà essere contattato per
qualsiasi esigenza correlata al trattamento dei dati personali di tutti gli
interessati.
INCARICATI DEL
TRATTAMENTO
Il MOP prevede
che ciascun dipendente/collaboratore del TITOLARE tratti solamente i dati
indispensabili per svolgere le proprie mansioni, in funzione
dell’organizzazione interna e soprattutto delle finalità indicate e proposte
all’interessato (principio cd di "limitazione della finalità e
minimizzazione dei dati”, art. 5, par. 1,lett. b) e c) del Reg. (UE) 2016/679.
Pertanto è stata predisposta una segmentazione dei trattamenti, per aree
omogenee di “Incaricati del trattamento”, vincolandolo i
dipendenti/collaboratori preposti a ciascuna area ad un ambito specifico di
trattamento. A tal fine, “by design”, anche il sistema informativo è costituito
a “compartimenti stagni”. Il dipendente/collaboratore potrà accedere dalla
propria postazione informatica solo ai dati indispensabili per svolgere le
proprie mansioni. La designazione alle specifiche aree di trattamento avviene
per il tramite del Registro delle attività di Trattamento, documento interno
che individua puntualmente l’ambito di trattamento e conferisce
l’autorizzazione in merito agli addetti preposti all’area medesima. Il
dipendente/collaboratore ha altresì ricevuto un regolamento interno sull’uso
degli strumenti informatici e delle regole di condotta, anche etiche, su tutte
le informazioni alle quali accede in virtù della sua specifica mansione.
Per garantire in
maniera efficace l’adeguamento ai principi in materia di trattamento dei dati
personali, il TITOLARE eroga frequentemente corsi di formazione ed
aggiornamento in materia ai propri dipendenti/collaboratori che, in virtù delle
proprie mansioni, svolgono trattamenti di dati personali.
AMMINISTRATORI DI SISTEMA
(INTERNI ED ESTERNI)
Il TITOLARE
utilizza sistemi informatici evoluti per gestire e organizzare la propria
attività. Per tale ragione, da sempre, l’attenzione alla costruzione dei
software e l’utilizzo e sicurezza dei dati sono alla base dell’attività
prevalente del TITOLARE. I soggetti con privilegi di “amministratore” interni
al Consorzio sono specificatamente nominati e formati. Anche le Società esterne
specializzate che accedono a dati consortili sono specificatamente nominate
Responsabili Esterni o Amministratori di Sistema Esterni ai sensi dell’art. 28
del Reg. (UE) 2016/679.
I fornitori di Servizi informatici esterni sono scelti con particolare
attenzione alla professionalità non solo tecnica ma anche del rispetto e della
protezione dei dati, privilegiando società certificate ISO 27001.
RESPONSABILI ESTERNI DEL TRATTAMENTO (art.
28 Reg.679/16)
In linea di
principio il TITOLARE gestisce internamente quasi tutte le attività di
trattamento. I casi di affidamento in outsourcing a terzi di alcune attività
che implicano un trattamento di dati sono opportunamente indicati nel Registro
delle attività di trattamento e segnalate all’interno delle singole
informative. In questi casi il rapporto con il soggetto terzo è disciplinato
con contratto di nomina a “Responsabile Esterno del Trattamento” ai sensi
dell’art. 28 del Reg. (UE) 2016/679.
1.2 ANALISI DEL RISCHIO E
MISURE PER PREVENIRE I RISCHI PRIVACY
Secondo i
principi della c.d. “accountability” (responsabilizzazione) spetta al TITOLARE implementare
una serie di misure – organizzative, fisiche, giuridiche, tecniche ed
informatiche – volte a prevenire il rischio di violazione dei diritti e delle
libertà personali degli interessati. Per raggiungere questo obiettivo viene
effettuata una costante analisi dei rischi, in funzione dei trattamenti, degli
strumenti utilizzati, della tipologia e della mole di dati trattati.
REGISTRO DELLE ATTIVITA’
DI TRATTAMENTO (art. 30 par. 1 Reg. UE 2016/679) E ANALISI DELL’IMPATTO
Il MODELLO
ORGANIZZATIVO PRIVACY (MOP) prevede un’attenta e costante analisi dei rischi
per il trattamento dei dati personali, individuati per ciascuna attività o
Servizio erogato attraverso un Registro delle attività di Trattamento ai sensi
dell’art. 30 par. 1 Reg. (UE) 2016/679.
Il Registro delle
attività ditrattamenti del MOP è uno strumento operativo che contiene elementi
ulteriori rispetto a quelli previsti dall’art. 30 del Reg. (UE) 2016/679, in
quanto consente di effettuare una prima analisi dei rischi per i diritti e la
libertà degli interessati, collegate a ciascun trattamento (cd. PRE DPIA). Analizzata
l’attività di trattamento svolta dal Titolare, si ritiene che ad oggi non vi
siano attività a rischio tale da necessitare una specifica valutazione di
impatto ai sensi dell’art. 35 Reg. (UE) 2016/679 (DPIA).
L’analisi su
rischi informatici e sulle infrastrutture hardware e software consortili e
sulle misure informatiche di adeguamento è stata realizzata sia dai nostri
Amministratori di Sistema con appositi tool e check list (es. circolare Agid
2/2017) sia da un’azienda esterna specializzata, che ha effettuato un audit
approfondito con test di sicurezza. Gli esiti dell’indagine hanno permesso ai
nostri tecnici di migliorare ulteriormente le misure di protezione dai cyber
attacchi e dalle minacce informatiche, gradatamente e proporzionalmente al
rischio per i diritti e le libertà degli interessati.
Le misure –
organizzative, fisiche, giuridiche, tecniche ed informatiche – programmate ed
attuate per abbattere i rischi “privacy” dell’interessato sono illustrate nell’apposita
sezione del “registro delle attività di trattamento” e nei relativi allegati
informatici.
2
- TRASPARENZA E DIRITTI DELL’INTERESSATO
2.1 DIRITTI IN MATERIA
DI PROTEZIONE DEI DATI PERSONALI
Il TITOLARE,
anche in questa sede, ritiene fondamentale informare gli interessati
dell'esistenza di alcuni diritti in materia di protezione dei dati personali,
di seguito elencati.
·
Diritto di ESSERE INFORMATO (trasparenza
nel trattamento dei dati)
L’interessato ha
diritto di essere informato su come il TITOLARE tratta i Suoi dati personali,
per quali finalità e sulle altre informazioni previste dall’art. 13 del Reg. (UE)
2016/679. A tale fine, il TITOLARE ha predisposto dei processi organizzativi
che permettono, all’atto di acquisizione o richiesta dei dati personali” il
rilascio di un modello diInformativa creato “ad hoc” a seconda della“categoria
di interessati” a cui l’interessatostesso appartiene (dipendente, consorziato,
fornitore ecc.). Questo documento permette di informare adeguatamente tutti i
soggetti cui i dati si riferiscono su come venga effettuato il trattamento da
parte del TITOLARE. Il modello di informativa potrà essere richiesto con
apposita domanda a quest’ultimo. In ogni caso il DPO è a sua disposizione per
ogni ulteriore spiegazione sul contenuto e sulle modalità di esercizio di tale
diritto.
·
Diritto di revoca del consenso (art. 13)
L’interessato ha
il diritto di revocare il consenso in qualsiasi momento per tutti quei
trattamenti il cui presupposto di legittimità è una Sua manifestazione di
consenso. La revoca del consenso non pregiudica la liceità del trattamento
precedente.
·
Diritto di accesso ai dati (art. 15)
L’interessato ha
il diritto di ottenere dal titolare la conferma che sia o meno in corso un
trattamento di dati personali che lo riguardano e in tal caso di ottenere
l’accesso ai dati personali e alle seguenti informazioni: a) le finalità del
trattamento; b) le categorie di dati personali in questione; c) i destinatari o
le categorie di destinatari a cui i dati personali sono stati o saranno
comunicati, in particolare se destinatari di paesi terzi o organizzazioni
internazionali; d) quando possibile, il periodo di conservazione dei dati
personali previsto oppure, se non è possibile, i criteri utilizzati per
determinare tale periodo; e) l'esistenza del diritto dell'interessato di
chiedere al titolare del trattamento la rettifica o la cancellazione dei dati
personali o la limitazione del trattamento dei dati personali che lo riguardano
o di opporsi al loro trattamento; f) il diritto di proporre reclamo a
un'autorità di controllo; g) qualora i dati non siano raccolti presso
l'interessato, tutte le informazioni disponibili sulla loro origine; h)
l'esistenza di un processo decisionale automatizzato, compresa la profilazione
di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni
significative sulla logica utilizzata, nonché l'importanza e le conseguenze
previste di tale trattamento per l'interessato.
L’interessato ha
il diritto di richiedere una copia dei dati personali oggetto di trattamento.
Il diritto di ottenere una copia non deve ledere i diritti e le libertà altrui.
·
Diritto di rettifica (art. 16)
L’interessato ha
il diritto di ottenere dal TITOLARE del trattamento la rettifica dei dati
personali inesatti che lo riguardano senza giustificato ritardo nonché, tenendo
conto delle finalità del trattamento, di ottenere l'integrazione dei dati
personali incompleti.
·
Diritto all’oblio (art. 17)
L’interessato ha
il diritto di ottenere dal TITOLARE del trattamento la cancellazione dei dati
personali che lo riguardano senza giustificato ritardo e il TITOLARE del
trattamento ha l’obbligo di cancellare senza giustificato ritardo i dati
personali: se i dati personali non sono più necessari rispetto alle finalità
per le quali sono stati raccolti o altrimenti trattati, se l’interessato revoca
il consenso, se non sussiste alcun motivo legittimo prevalente per procedere al
trattamento di profilazione, se i dati sono stati trattati illecitamente, se vi
è un obbligo legale di cancellarli; se i dati sono relativi a servizi web resi a
minori senza il relativo consenso. La cancellazione può avvenire salvo che sia
prevalente il diritto alla libertà di espressione e di informazione, che siano
conservati per l'adempimento di un obbligo di legge o per l'esecuzione di un
compito svolto nel pubblico interesse oppure nell'esercizio di pubblici poteri,
per motivi di interesse pubblico nel settore della sanità, a fini di
archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini
statistici o per l'accertamento, l'esercizio o la difesa di un diritto in sede
giudiziaria.
·
Diritto di limitazione del trattamento
(art. 18)
L’interessato ha
il diritto di ottenere dal TITOLARE del trattamento la limitazione del
trattamento: quando ha contestato l'esattezza dei dati personali (per il
periodo necessario al titolare del trattamento per verificare l'esattezza di
tali dati personali), se il trattamento è illecitoe l’interessato si oppone
alla cancellazione dei dati personali e chiede invece che ne sia limitato
l'utilizzo, se sono necessari all’interessato per l'accertamento, l'esercizio o
la difesa di un diritto in sede giudiziaria, mentre al Titolare non sono più
necessari, se l’interessato si è opposto al trattamento ai sensi dell’art. 21
par. 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi
legittimi del TITOLARE del trattamento rispetto a quelli dell’interessato.
·
Diritto alla portabilità (art. 20)
L’interessato ha
il diritto di ricevere in un formato strutturato, di uso comune e leggibile da
dispositivo automatico i dati personali che la riguardano forniti al TITOLARE
del trattamento ed ha il diritto di trasmetterli a un altro TITOLARE senza
impedimenti da parte del titolare cui li ha forniti qualora il trattamento si
sia basato sul consenso, sul contratto e se il trattamento sia effettuato con
mezzi automatizzati, salvo che il trattamento sia necessario per l'esecuzione
di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri
di cui è investito il TITOLARE del trattamento e che tale trasmissione non leda
il diritto di terzi.
·
Diritto di rivolgersi all’autorità Garante
per la protezione dei dati personali (art. 77).
Fatto salvo ogni
altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il
trattamento che lo riguarda violi il regolamento in materia di protezione dei
dati personali, ha il diritto di proporre reclamo ad un'autorità di controllo,
segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del
luogo ove si è verificata la presunta violazione.
2.2 ESERCIZIO DEI DIRITTI
Per l’esercizio
effettivo dei Suoi diritti può chiedere informazioni al TITOLARE o al DPO,
oppure compilare adeguatamente la modulistica di accesso che le mettiamo a
disposizione qui sotto.
2.3 MODULISTICA
·
Modello di esercizio dei diritti dell’interessato